一.什么是Java序列化和反序列化?
Java序列化:将Java对象通过writeObject()方法转换为字节流并写入磁盘中。
Java反序列化:将字节流通过readObject()方法读取出来并转换为对象。
二.为什么会产生反序列化漏洞?
举个例子:客户端和服务端通信的时候,客户端将序列化之后的数据传输给服务器,只要服务端反序列化数据,客户端传递类的readobject中代码会自动执行,给与攻击者在服务器上运行代码的能力。那么将会产生反序列化漏洞。
三:漏洞可能利用的形式
1.入口类中的readObject()直接调用危险函数。(但是,这种个人觉得基本不大可能 )
2.入口类中包含可控类,这个可控类如果调用其他的类中包含危险函数的话也有可能,简单来说就是套娃。
3.入口类中包含可控类,这个类包含危险方法,如果定义的时候转变数据类型为Object,那么也可能产生漏洞。
四:免责声明
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。其中知识点参考了billbill中白日梦组长。